Блокировать другие рабочие станции в сети WAN, обращающиеся к локальной сети pfSense

Question

Блокировать другие рабочие станции в сети WAN, обращающиеся к локальной сети pfSense

Я использую VMware ESXi для создания сети с тестовым доменом под управлением Exchange 2007.

Я использую pfSense в качестве межсетевого экрана между моей физической сетью (которую я использую как WAN) и внутренней сетью виртуальной машины (которая не подключена к физическим портам), которая является локальной сетью тестового домена.

Все работает нормально. ЛВС использует 192.168.1.x адреса и я маршрутизирую трафик через нашу сеть, которая 192.168.62.x

Пользователи в нашей сети теперь получают предупреждения безопасности в Outlook для тестового сервера Exchange (в настоящее время они отображаются как для mail.contoso.com, поскольку я не настроил Exchange).

Мне нужен внешний почтовый доступ к этому тестовому домену, чтобы я мог доказать отказоустойчивость, но я бы хотел заблокировать других пользователей сети, видящих домен.

В настоящее время я могу пинговать брандмауэр и серверы на нашем 62.x сеть от моих виртуальных машин тоже (не такая большая проблема, но было бы неплохо, если бы они были заблокированы друг от друга).

Какие правила я могу установить в pfSense, чтобы предотвратить это?

2

esxi pfsense exchange-2007

Источник

neildeadman 27 мар '13 в 09:44

1 ответ

Другие вопросы по тегам esxi pfsense exchange-2007

STTR 27 мар '13 в 10:47 2013-03-27 10:47 · Answer 1 · 2013-03-27 10:47

Контроллер домена

LDAP (389/3268 TCP/UDP), Kerberos (88 TCP/UDP), DNS (53 TCP/UDP), RPC netlogon (135 TCP)

Транспортный сервер-концентратор Exchange 2007

SMTP (25/587 TCP) SSL

Сервер почтовых ящиков Exchange 2007

 RPC MAPI (135 TCP)

Серверы ретрансляции SMTP (в сети периметра)

 SMTP (25,995 SMTP TLS)

Сервер единой системы обмена сообщениями Exchange 2007

 SMTP (25,995 SMTP TLS)

Сервер почтовых ящиков Exchange 2007

 RPC MAPI (135 TCP), many dynamic*

Сервер единой системы обмена сообщениями Exchange 2007

 VoIP (TCP 5060,5061 SSL,5065,5066)

Общие папки (размещенные на сервере почтовых ящиков Exchange 2007)

 RPC MAPI (135 TCP)

Общие папки (размещенные на сервере почтовых ящиков Exchange 2007)

 RPC MAPI (135 TCP), many dynamic*

Сервер клиентского доступа Exchange 2007

 80/443 TCP SSL

Клиент Outlook 2003

 RPC over HTTP (80/443 TCP)

Клиент Outlook 2007

 RPC over HTTP (80/443 TCP)

Другие клиенты (POP3 / SMTP / IMAP4)

 POP3 (110/995 TCP), IMAP (143/993 TCP), see too 995 SMTP TLS

/

* By default, "many dynamic ports" is the port range 1024-65535.

Понимание портов, которые используются Exchange 2007 в смешанной среде

Может измениться, если установить диапазон RPC порта:

Настройте диапазон диапазона RPC на рабочей станции сервера и клиента!

Как настроить динамическое распределение портов RPC для работы с межсетевыми экранами

Дополнительно:

Ограничение трафика репликации Active Directory и трафика RPC клиента на определенный порт

Настройка портов контроллера домена Репликация Windows 2000/2003 через брандмауэр

Чтобы тестирование было более осмысленным, используйте эти замечательные бесплатные журналы и газеты по архитектуре

Журнал Архитектуры

Центр архитектуры MSDN

Блог Архитектуры

Центр загрузки Microsoft: Архитектура

Центр загрузки Microsoft: архитектурные схемы

Центр загрузки Microsoft: постер архитектуры

Ну, возьмите магические материалы Microsoft Airlift.

pfSense:

Добавление правил с помощью easyrule

pfSense: настройка правил NAT и брандмауэра

Пример базовой конфигурации

pfSense: важные команды консоли